해커들은 생성 AI를 사용해 5주 만에 전 세계 600개의 Fortinet 방화벽을 손상시켰습니다.

Amazon은 최근 단 5주 만에 러시아어를 사용하는 해커가 다양한 생성 AI 서비스를 사용하여 Fortinet FortiGate 방화벽에 대규모 침입을 시작하고 55개국에서 600개 이상의 장치를 성공적으로 손상시켰다는 보안 경고를 발표했습니다.

Amazon 통합 보안 부서의 최고 정보 보안 책임자인 CJ Moses는 최근 보고서에서 이번 공격이 2026년 1월 11일부터 2월 18일 사이에 발생했다고 밝혔습니다. 공격자는 제로데이 취약점을 악용한 것이 아니라, 인터넷에 노출된 FortiGate 관리 인터페이스에 중점을 두었고, 취약한 비밀번호와 다단계 인증이 부족한 계정을 결합하여 침입을 수행했으며, 나아가 AI 자동화를 사용하여 피해자 네트워크의 다른 장치를 뚫었습니다. 보고서에 따르면 이렇게 손상된 방화벽은 남아시아, 라틴 아메리카, 카리브해 지역, 서아프리카, 북유럽, 동남아시아 등 여러 지역에 배포되어 있습니다. 특정 업종을 대상으로 한 것이 아니라 확실히 기회주의적인 대상 선정이 이루어졌습니다.

Amazon은 FortiGate 방화벽을 공격하기 위해 악성 도구를 전달하는 데 사용되는 서버를 발견한 후 보안 팀이 전반적인 작업 프레임워크를 발견했다고 밝혔습니다. 해커는 먼저 포트 443, 8443, 10443 및 4443을 스캔하여 공용 네트워크에 노출된 FortiGate 관리 인터페이스를 찾은 다음 FortiGate와 관련된 알려지거나 알려지지 않은 취약점을 악용하는 대신 일반적인 취약한 비밀번호를 사용하여 무차별 대입으로 액세스 권한을 얻습니다.

공격자는 장치 침입에 성공한 후 장치 구성 파일을 내보내고 SSL-VPN 사용자 자격 증명(복구 가능한 비밀번호 포함), 관리 계정, 액세스 제어 정책 및 내부 네트워크 아키텍처, IPsec VPN 구성, 네트워크 토폴로지 및 라우팅 정보와 같은 주요 데이터를 획득합니다. 그런 다음 이러한 구성 파일은 도구에 의해 구문 분석 및 해독되었으며, 이러한 도구의 소스 코드에는 Python 및 Go로 작성된 사용자 정의 정찰 프로그램의 중복 주석, 간단한 아키텍처이지만 형식 지정에 너무 많은 노력, 표준 JSON 역직렬화 대신 문자열 일치 사용, 내장 언어 기능에 대한 호환성 레이어 작성하지만 빈 문서를 남기는 등 AI 지원 개발의 명확한 흔적이 나타났습니다. Amazon은 이러한 도구가 공격자의 특정 요구 사항을 거의 충족할 수 없지만 복잡하거나 잘 강화된 환경에서는 실패하고 견고성이 부족한 경우가 많다고 지적했습니다. 이는 '깊이 다듬어지지 않은 AI 생성 코드'의 전형적인 표현이기도 하다.

이러한 자동화된 도구는 라우팅 테이블 분석, 크기별 네트워크 분류, 오픈 소스 gogo 스캐너를 사용한 포트 스캔 수행, SMB 호스트 및 도메인 컨트롤러 식별, Nuclei 도구의 도움으로 HTTP 서비스 및 잠재적인 취약점 찾기 등 손상된 네트워크에 대한 심층적인 정찰을 수행하는 데 사용되었습니다. 조사관들은 공격자가 적시에 패치를 적용했거나 엄격하게 강화되었지만 반복적인 시도 후에도 돌파할 수 없는 시스템을 발견할 경우 이러한 대상을 버리고 대신 공격에 더 취약한 시스템을 찾을 것이라는 사실을 발견했습니다.

공격 체인 후반부에서 연구원들은 Meterpreter 및 mimikatz를 사용하여 Windows 도메인 컨트롤러에 대한 DCSync 공격을 수행하여 Active Directory 데이터베이스에서 NTLM 암호 해시를 내보내는 방법을 자세히 설명하는 공격자의 서버에서 러시아어로 작성된 운영 문서를 발견했습니다. 또한 공격자는 후속 랜섬웨어 공격이 발생하기 전에 백업 인프라를 손상시키거나 제어하기 위해 Veeam 관련 취약점을 악용하기 위해 사용자 지정 PowerShell 스크립트와 컴파일된 자격 증명 추출 도구를 사용하여 Veeam Backup & Replication 백업 서버를 구체적으로 표적으로 삼았습니다.

IP 212[.]11.64.250으로 Amazon이 발견한 서버에서 보안 팀은 Veeam 백업 시스템에서 자격 증명을 해독하고 남용하는 데 사용된 "DecryptVeeamPasswords.ps1"이라는 PowerShell 스크립트를 찾았습니다. 보고서는 공격자들이 QNAP 원격 코드 실행 취약점 CVE-2019-7192, Veeam 정보 공개 취약점 CVE-2023-27532, Veeam 원격 코드 실행 취약점 CVE-2024-40711 등 여러 취약점을 악용하려 했다는 점을 소위 '전투 노트'에서 반복적으로 언급했다고 지적했습니다.

Amazon은 이 위협 행위자의 전반적인 기술 수준이 "낮음~보통"이라고 믿고 있지만, 생성 AI 서비스의 광범위한 사용을 통해 공격 능력이 크게 증폭되었습니다. 연구원들은 공격자들이 작전 전반에 걸쳐 최소 2개의 대규모 언어 모델 서비스를 사용하여 단계별 공격 방법론을 생성하고, 다국어 사용자 정의 스크립트를 작성하고, 정찰 프레임워크를 구축하고, 측면 이동 경로를 계획하고, 내부 운영 문서를 작성했다고 밝혔습니다. 어떤 경우에는 공격자가 전체 내부 네트워크 토폴로지(IP 주소, 호스트 이름, 자격 증명 및 알려진 서비스 포함)를 AI 서비스에 제출하여 네트워크 내에서 추가 확장 방법에 대한 권장 사항을 요청하기도 했습니다.

아마존은 이번 사건을 통해 상업용 AI 서비스가 사이버 공격의 한계점을 낮추고 있어 경험이 부족한 공격자가 복잡한 침입을 독립적으로 완료하여 대규모 다국적 작전을 시작할 수 있음을 분명히 보여주었다고 강조했습니다. 이러한 유형의 위협에 대처하기 위해 Amazon에서는 FortiGate 관리자가 관리 인터페이스를 공용 네트워크에 노출하지 않고, 주요 계정에 대해 다단계 인증을 활성화하고, VPN 암호가 Active Directory 계정 암호와 동기화되지 않도록 하고, 백업 시스템 강화에 집중할 것을 권장합니다. Amazon의 관찰은 해커가 초기 정찰부터 침입 후 작업에 이르기까지 사이버 공격의 모든 단계에서 Gemini AI를 활용하고 있다는 Google의 최근 보고서를 반영합니다.

Amazon 보고서와 거의 일치하는 보안 블로그인 "Cyber ​​​​and Ramen"은 공격자가 AI 및 대규모 언어 모델을 침입 프로세스에 직접 내장하는 기술적인 세부 사항을 공개하는 독립적인 연구를 발표했습니다. 연구원은 앞서 언급한 잘못 구성된 서버 212.11.64[.]250이 1,402개의 파일과 139개의 하위 디렉터리를 노출했다는 사실을 발견했습니다. 여기에는 도난당한 FortiGate 구성 백업, Active Directory 매핑 데이터, 자격 증명 덤프, 취약성 평가 결과 및 공격 계획 문서가 포함될 뿐만 아니라 AI 상호 작용과 관련된 수많은 아티팩트도 포함되어 있습니다.

연구원들은 서버가 스위스 취리히에 위치하고 있으며 AS4264(Global-Data System IT Corporation)에서 호스팅하고 있음을 지적했습니다. 디렉터리 구조에는 CVE 공격 코드, FortiGate 구성 파일, Nuclei 스캐닝 템플릿 및 Veeam 자격 증명 추출 도구가 포함되어 있습니다. 주목할 만한 점은 폴더 중 'claude-0'과 'claude'라는 두 폴더에는 Claude Code의 작업 출력, 세션 차이, 캐시된 프롬프트 단어 상태 등 총 200개 이상의 파일이 포함되어 있어 공격자와 상용 AI 도구 간에 지속적이고 체계적인 상호 작용이 있음을 나타냅니다. "fortigate_27.123(전체 IP 감도 저하)"이라는 또 다른 폴더에는 손상된 FortiGate 장치에서 나온 것으로 의심되는 구성 데이터와 자격 증명 정보가 저장됩니다.

또한 추가 분석에 따르면 공격자는 정찰 데이터와 상업용 대형 모델 사이의 "브리지"로 "ARXON"이라는 사용자 지정 MCP(모델 컨텍스트 프로토콜) 서버를 구축한 것으로 나타났습니다. 연구원들은 공개 채널에서 ARXON에 대한 정보를 찾지 못했고 프레임워크는 공격자가 직접 개발했을 가능성이 가장 높다고 추측했습니다. 이 아키텍처에서 MCP 서버는 피해자 네트워크 및 FortiGate 장치에서 추출한 데이터를 수신하여 대규모 언어 모델에 입력한 다음, 자동화된 공격 후 분석 및 공격 계획을 위해 모델에서 생성된 출력을 다른 공격 도구에 연결하는 역할을 합니다.

ARXON 외에도 연구원들은 Docker에 배포되어 대규모 VPN 대상을 병렬로 스캔하는 데 사용되는 CHECKER2라는 Go 언어 도구도 발견했습니다. 로그에 따르면 이 도구는 광범위한 공격 범위를 반영하여 100개 이상의 국가에서 2,500개 이상의 잠재적 표적을 검사한 것으로 나타났습니다. 손상된 FortiGate 장치 및 내부 네트워크에서 수집된 정찰 데이터는 ARXON에 공급될 것으로 알려졌습니다. ARXON은 DeepSeek 및 Claude와 같은 대규모 모델을 사용하여 도메인 관리자 권한을 얻는 방법, 고가치 자격 증명의 우선순위 지정 위치, 악용 권장 단계, 네트워크 내 측면 침투를 위한 특정 경로를 포함하여 구조화된 공격 계획을 생성합니다.

일부 시나리오에서는 공격자가 지침을 하나씩 확인할 필요 없이 Impacket 스크립트, Metasploit 모듈, 해시캣 등과 같은 공격 도구를 직접 실행하도록 Claude Code를 구성하기도 합니다. 연구원들은 몇 주 내에 공격 시스템이 크게 발전했다는 사실을 발견했습니다. 처음에는 공격자들이 오픈 소스 HexStrike MCP 프레임워크에 의존했고, 약 8주 후에는 대규모 침입의 효율성을 더욱 향상시키기 위해 자신들의 필요에 맞게 맞춤화된 더욱 자동화된 ARXON 시스템으로 전환했습니다.

결론적으로 독립 보고서는 Amazon의 평가에 동의합니다. Generative AI는 실제로 이 작업에서 "승수" 역할을 수행하여 공격자가 제한된 기술 능력으로 공격의 규모와 복잡성을 빠르게 확장할 수 있도록 했습니다. 또한 연구원들은 방어자들에게 AI를 사용하여 이러한 유형의 자동화된 침입에 대처하기 위해 경계 장치 패치 우선 순위를 정하고 SSH 액세스를 제한 및 모니터링하며 비정상적인 VPN 계정 생성 동작을 정기적으로 감사해야 함을 상기시킵니다.

또한 CronUp 보안 연구원인 Germán Fernández는 FortiWeb 어플라이언스를 대상으로 하는 AI 생성 공격 도구가 포함된 것으로 보이는 디렉토리가 노출된 다른 서버를 발견했습니다. 이러한 도구가 FortiGate 공격에 직접적으로 관여하는 것으로 아직 확인되지는 않았지만, 이번 발견은 위협 행위자가 공격 능력을 확장하기 위해 AI 도구를 사용하는 새로운 방법을 계속 탐색하고 있음을 다시 한 번 강조합니다.